Krytyczna podatność w aplikacji Boomplay firmy TECNO Mobile umożliwia obejście mechanizmu uwierzytelnienia bez jakichkolwiek uprawnień czy interakcji użytkownika. Ocena CVSS 9.8 wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności danych.
▸ Pokaż oryginał (EN)
Insufficient Verification of Data Authenticity vulnerability in TECNO Mobile com.Afmobi.Boomplayer allows Authentication Bypass.This issue affects com.Afmobi.Boomplayer: 7.4.63.
Podatność wynika z niewystarczającej weryfikacji autentyczności danych (CWE-345) w aplikacji com.Afmobi.Boomplayer w wersji 7.4.63. Atakujący zdalny, bez uwierzytelnienia i bez interakcji ze strony użytkownika, może dostarczyć spreparowane dane, które nie są odpowiednio weryfikowane pod kątem ich autentyczności. W efekcie mechanizm uwierzytelnienia zostaje pominięty, a atakujący uzyskuje nieautoryzowany dostęp do chronionych funkcji lub zasobów aplikacji.
Atakujący może uzyskać nieautoryzowany dostęp do zasobów aplikacji, potencjalnie prowadząc do naruszenia poufności, modyfikacji danych lub zakłócenia działania usługi bez posiadania jakichkolwiek uprawnień.
Należy zaktualizować aplikację Boomplay do wersji wyższej niż 7.4.63. Szczegółowe informacje o dostępnych patchach znajdują się na stronie producenta: https://security.tecno.com/SRC/securityUpdates
Aplikacja Boomplay (com.Afmobi.Boomplayer) w wersji 7.4.63 na platformie Android (TECNO Mobile).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTecno Boomplay
APPTecno≤ 7.4.63
Powiązane podatności
Brak uwierzytelnienia w aplikacji systemowej Tecno HiOS (com.transsion.kolun.aiservice)
Interface exposure vulnerability in the mobile application (com.transsion.carlcare) may lead to information l...
The mobile application (com.transsnet.store) has a man-in-the-middle attack vulnerability, which may lead to c...
The Tecno Spark Pro Android device with a build fingerprint of TECNO/H3722/TECNO-K8:7.0/NRD90M/K8-H3722ABCDE-N...
Unprotected service in the AudioLink component allows a local attacker to overwrite system files via unauthori...